La CNIL juge que Google Analytics viole le RGPD

Mise à jour : En juin 2022, la CNIL a publié une FAQ sur Google Analytics indiquant que les sites web n'ont qu'un mois pour se conformer et retirer Google Analytics. La CNIL a confirmé qu'aucune configuration de Google Analytics ne peut satisfaire les exigences de Schrems II, et qu'aucune mesure supplémentaire ne peut le rendre conforme.

Suite à une décision similaire de l'autorité autrichienne de protection des données en janvier 2022, l'autorité française de protection des données, la CNIL, a déterminé que Google Analytics n'est pas conforme au RGPD. La décision a constaté que Google Analytics ne protège pas adéquatement les données des visiteurs européens contre la surveillance américaine.

Le constat central : le transfert de données de l'UE vers les États-Unis via Google Analytics est dangereux, insuffisamment réglementé et n'offre pas une protection adéquate pour les citoyens de l'UE et leurs données personnelles.

« Les États-Unis échouent à ce test d'équivalence critique en raison de lois de surveillance étendues qui ne fournissent aux citoyens non américains aucun moyen de savoir si leurs données sont acquises, comment elles sont utilisées ou de demander réparation en cas d'abus. » (Source : TechCrunch)

Google a refusé de commenter la décision et n'a pas mis à jour son logiciel pour atteindre la conformité au RGPD.

La CNIL recommande aux opérateurs de sites web de passer à des outils d'analytique alternatifs qui n'impliquent pas de transferts de données en dehors de l'UE.

Ce que cela signifie pour les propriétaires de sites web

Les outils d'analytique respectueux de la vie privée qui traitent toutes les données des visiteurs européens exclusivement sur des serveurs basés dans l'UE sont des alternatives conformes au RGPD. Les entreprises basées dans des pays bénéficiant de décisions d'adéquation RGPD (comme le Canada) peuvent travailler avec des entreprises européennes sans transférer de données personnelles vers une infrastructure contrôlée par les États-Unis.

Avec 101 plaintes déposées à travers l'UE suite à la décision Schrems II, des décisions supplémentaires des autorités de protection des données contre Google Analytics semblent inévitables. Cette tendance suggère également que tout logiciel traitant des données sur des serveurs contrôlés par les États-Unis pourrait faire l'objet d'un examen similaire.

Le vrai coût de l'analytique « gratuite »

Google Analytics est utilisé sur environ 85 % d'internet car il semblait être un logiciel gratuit. Le coût réel de payer l'analytique avec des données plutôt qu'avec de l'argent devient désormais évident. Risquer des amendes réglementaires et des plaintes de conformité ne vaut peut-être pas le prix de zéro euro.

Les opérateurs de sites web devraient évaluer si leurs outils d'analytique actuels les exposent à une responsabilité juridique et envisager de migrer vers des solutions qui privilégient la conformité au RGPD dès la conception.